Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2019
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. společnost STUDENT AGENCY k.s.

společnost STUDENT AGENCY k.s.

Kontrola dodržování zákonných povinností při přímém marketingu

Na základě kontrolního plánu pro rok 2018 provedl Úřad kontrolu, jejímž předmětem bylo dodržování povinností stanovených nařízením (EU) 2016/679 v souvislosti se zpracováním osobních údajů za účelem přímého marketingu společností STUDENT AGENCY, k.s., a v této souvislosti též dodržování zákona č. 480/2004 Sb. při zasílání obchodních sdělení.

Kontrolující zjistili, že kontrolovaná osoba zpracovává osobní údaje za účelem vlastního přímého marketingu na základě dvou právních titulů. Ve vztahu k zaregistrovaným odběratelům novinek z internetových stránek kontrolované osoby je právním titulem souhlas ve smyslu čl. 6 odst. 1 písm. a) nařízení (EU) 2016/679. Ve vztahu k osobám, které již jsou zákazníky kontrolované osoby, je právním titulem oprávněný zájem ve smyslu čl. 6 odst. 1 písm. f) tohoto nařízení.

Kontrolující zjistili, že ačkoli lze obecně souhlasit s tím, že předmětné zpracování osobních údajů zákazníků v daném rozsahu a za účelem vlastního marketingu je nezbytné pro naplnění oprávněného zájmu, který není převážen právy subjektů údajů, kontrolovaná osoba řádně nezdokumentovala provedení balančního testu. S ohledem na skutečnost, že dané zpracování je nezbytně spojeno se zasíláním obchodních sdělení, pro nějž kontrolované osobě svědčí právní titul dle § 7 odst. 3 zákona č. 480/2004 Sb., a s ohledem na rizikovost daného zpracování v této věci a možný zásah do práv však kontrolující dospěli k závěru, že toto pochybení nezpůsobilo neplatnost daného právního titulu, neboť oprávněný zájem je v daném případě zákonem presumován.

Kontrolující zjistili porušení čl. 26 nařízení (EU) 2016/679, neboť mezi společnými správci nebylo uzavřeno transparentní ujednání vymezující jejich podíly na odpovědnosti za plnění povinností stanovených nařízením (EU) 2016/679. Kontrolovaná osoba neměla aktualizované Zásady ochrany osobních údajů a ani neinformovala subjekty údajů o podstatných prvcích ujednání mezi společnými správci, čímž byla porušena povinnost stanovená čl. 26 odst. 2 nařízení (EU) 2016/679. Kontrolovaná osoba proto svým jednáním dále porušila ustanovení čl. 13 odst. 1 písm. a) nařízení (EU) 2016/679, neboť neposkytla transparentní a jednoznačné informace k totožnosti správce osobních údajů.

Úřad uložil kontrolované osobě opatření k odstranění zjištěných nedostatků spočívající v povinnosti uzavřít ujednání mezi společnými správci, upravit informační povinnost tak, aby splňovala veškeré náležitosti čl. 13 nařízení (EU) 2016/679 a řádně zdokumentovat provedení balančního testu.

Ve vztahu k povinnostem dle zákona č. 480/2004 Sb. kontrolující zjistili, že některá obchodní sdělení byla zasílána na základě právního titulu uvedeného v § 7 odst. 3 zákona č. 480/2004 Sb., tedy na základě zákaznického vztahu. V několika případech, a to pokud adresát nebyl zákazníkem nebo dříve odmítl zasílání obchodních sdělení, však kontrolovaná osoba porušila povinnosti § 7 odst. 2 zákona č. 480/2004 Sb., tedy využít podrobnosti elektronického kontaktu za účelem šíření obchodních sdělení elektronickými prostředky pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.

Úřad zjistil, že kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 13 a čl. 26 nařízení (EU) 2016/679 a § 7 odst. 2 zákona č. 480/2004 Sb.

Úřad uložil kontrolované osobě za porušení zákona č. 480/2004 Sb. pokutu ve výši 7 000 Kč.

Kontrolu řídil inspektor Ing. Josef Vacula.

Doporučení

Pokud se na určení účelu a prostředků podílí více správců, jsou společnými správci. Tito správci jsou mezi sebou povinni uzavřít dohodu, ve které vymezí své podíly na odpovědnosti a zejména na vyřizování žádostí subjektů údajů. O této dohodě správce musí subjekty údajů informovat. Bez ohledu na obsah takové dohody se však subjekt údajů může se svou žádostí obracet na kteréhokoli ze společných správců.